OAuth 리디렉션 악용, MFA 우회 공격의 새로운 위협
OAuth 리디렉션(OAuth Redirect)의 오류 처리 기능을 악용하여, 공격자가 악성 URL로 사용자를 유도하는 공격이 발생함
공격자는 유효하지 않은 매개변수를 사용하여 오류를 발생시키고, 이를 통해 악성 웹사이트(Malicious Website)로 리디렉션함
MFA(Multi-Factor Authentication) 우회가 아닌, 피싱을 통해 자격 증명을 탈취하는 방식임
마이크로소프트(Microsoft)는 이러한 공격에 대응하기 위해 OAuth 애플리케이션(OAuth Application) 권한 검토 및 조건부 액세스 정책(Conditional Access Policies) 설정을 권고함
OAuth 리디렉션 공격 메커니즘 분석
공격자는 OAuth 인증 요청(OAuth Authentication Request)에 의도적으로 잘못된 매개변수를 삽입하여 오류를 발생시킨다. 이 오류는 OAuth의 정상적인 오류 처리 메커니즘에 의해 공격자가 제어하는 악성 사이트로 리디렉션된다. 실제 사례로는, 악성 OAuth 애플리케이션을 생성하고, 피싱 이메일을 통해 사용자를 유도하는 방식이 사용되었다. 특히, EvilProxy와 같은 피싱 도구를 활용하여 자격 증명 탈취를 시도한다.
MFA 우회 여부 및 공격 목표
본 공격은 MFA를 직접적으로 우회하는 것이 아니라, 사용자를 피싱 사이트로 유도하여 자격 증명을 탈취하는 방식이다. 댓글에서는 공격의 목표가 MFA 우회가 아닌, 신뢰할 수 있는 도메인(Trusted Domain)을 사칭하여 자격 증명을 획득하는 것이라고 지적한다. 기술적으로 보면, 공격자는 OAuth의 정상적인 기능(Error Handling)을 악용하여 사용자를 속인다.
악성 페이로드(Malicious Payload) 및 공격 과정
공격은 주로 ZIP 아카이브를 통해 악성 코드를 배포하는 방식으로 진행된다. ZIP 파일 내에는 LNK 파일이 포함되어 있으며, LNK 파일 실행 시 PowerShell 명령을 통해 추가적인 악성 코드를 다운로드하고 실행한다. 실제 사례로는, steam_monitor.exe를 악용하여 DLL 사이드 로딩(DLL Side-Loading)을 수행하고, C2 서버와의 연결을 시도하는 방식이 사용되었다. 즉, 전체 장치(Full Device)를 장악하는 것을 목표로 한다.
대응 방안 및 예방 조치
마이크로소프트는 OAuth 애플리케이션 권한(OAuth Application Permissions)을 제한하고, 의심스러운 리디렉션 URI를 모니터링할 것을 권고한다. 또한, 조건부 액세스 정책을 통해 신뢰할 수 있는 사용자에게만 OAuth 애플리케이션 생성을 허용해야 한다. 사용자 측면에서는, 출처를 알 수 없는 이메일의 OAuth 인증 링크를 클릭하지 않고, 리디렉션 URI를 확인하는 것이 중요하다. 특히, 자동 파일 다운로드 차단(Block Automatic File Downloads)이 권장된다.
